Sérülékenységet észleltünk a Windows 10 jelszókezelőben

A Windows 10 alapértelmezés szerint a Keeper nevű jelszókezelővel rendelkezik. Ezt alapértelmezés szerint az operációs rendszerrel felszerelt eszközökre telepítik. De egy kritikus sebezhetőséget észleltek, amely a bejelentkezési kulcsok feltárását okozhatja. Ezenkívül Tavis Ormandy szerint ez nem az első olyan hiba, amelyet eddig észleltek. Mi történt rosszul?

Sérülékenységet észleltünk a Windows 10 jelszókezelőben

A számítógépes biztonsági szakértő telepítette a Windows 10 egy példányát, amelyet letöltött a Microsoft fejlesztői hálózatából. Úgy tűnik, hogy ezt az előre telepített jelszókezelőt kritikus biztonsági rés jellemzi ebben a példányban. Ez a hiba bármely webhely számára lehetővé teszi a bejelentkezési jelszavak ellopását.

Készítettem egy új Windows 10 virtuális gépet tiszta képpel az MSDN-től, és észrevettem, hogy egy harmadik fél jelszókezelője alapértelmezés szerint telepítve van. Nem tartott sokáig, hogy megtaláljuk a kritikus sebezhetőséget.

- Tavis Ormandy (@taviso), 2017. december 15

A jelszókezelő biztonsági rése

Noha úgy tűnik, hogy ebben az esetben nem Microsoft fejlesztés, hanem magához a Windows 10 kódhoz sem tartozik, mivel a cég harmadik felek által kifejlesztett szoftvert kínál felhasználóinak, hogy a felhasználók használhassák azt. Itt találták meg a kritikus hibát. Ez lehetővé teszi, hogy minden weboldal ellopja a Windows 10 felhasználói jelszavait. A problémáról már beszámoltak a Microsoftnak.

A Keeper fejlesztői már kiadták a megoldást, miután a problémáról számoltak be nekik. Ezen felül automatikus frissítést tettek elérhetővé a felhasználók számára a kezelő új verziójának telepítéséhez. Bár úgy tűnik, hogy a Microsoft továbbra is sebezhető verziót kínál. Tehát a Microsoftnak túl sokáig tart az új verzió felkínálása.

Ezért a jelszókezelőt használó felhasználók számára a legjobb letöltni a Keeper új verzióját. Noha várhatóan a menedzser javított verziója hamarosan megérkezik a Windows 10-be.

Hackeread betűtípus